3side кибербезопасности

Встреча DEFCON Russia на площадке Samokat.tech Подписчики из Санкт-Петербурга, приходите в эту пятницу 17 ноября на бесплатный ивент DEFCON Russia в офис Samokat.tech. Помимо трех технических докладов по кибербезопасности от коллег, я проведу оффлайн-дискуссию о психологии в социальной инженерии. Поговорим в формате диалога о том: - Как составлять сценарии и скрипты для звонков? - Как прогнозировать эффективность сценариев? - На какие механизмы человеческой психики опираться при их составлении? - Какие состояния и факторы влияют на восприимчивость? - Как обходить триггеры жертвы? - Как защищаться от подобного вам и вашим коллегам? Организаторы говорили что-то о пицце и напитках на афтепати😉 Регистрируйтесь, пока еще есть места!

Какие ваши доказательства? Тут некоторые каналы в который раз пишут, о закрытых уязвимостях Битрикса и в очередной раз объявляют CMS виновной в том, что якобы через нее ломали компании. При этом ломали компании не маленькие, и расследования там проводились, но все еще НИКТО из расследователей не привел ни одного доказательства, что хоть в каком-то случае взлом был осуществлен через Битрикс. Даже заявлений от тех, кто проводил расследования не было. Вопрос, а доказательства эксплуатации Битрикса будут? И почему ломали только некоторых пользователей CMS? Иначе я также голословно могу сказать, что во всех компаниях использовался Linux, значит он "главный герой утечек"!

Завтра презентуем наше с АСИ исследование на Цифротехе! Наша секция "Кибербезопасность малого и среднего предпринимательства" Велком!

Ключи у всех на виду Классический защищенный способ подключения - это SSH ключи. С помощью них удобно и подключаться к серверам и код на GitHub отправлять. Ключей два приватный и публичный, но все ли понимают, что публичный ключ действительно ПУБЛИЧНЫЙ. То есть доступный всем окружающим? Именно этим вопросом задался автор статьи, перевод которой и был выложен на Habr. Кратко ее резюме такого: - Использовать один ключ на нескольких сервисах небезопасно с точки зрения анонимности. - Публичный ключ всегда стоит считать известным всему интернету, GitHub их легко отдает. - К серверу можно подключиться с помощью публичного ключа, доступа это не даст, но по ответу будет понятно, эта связка авторизована или нет. В результате можно собрать все публичные ключи Интернета и организовать массовый перебор, чтобы определить какие пользователи имеют доступ к каким серверам. Противодействие простое, не ленитесь генерировать разные ключи под различные задачи, особенно если вам важна приватность.

Через неделю мы презентуем исследование на Цифротехе Всем привет! Через неделю, 10 ноября, на питерском Цифротехе мы будем презентовать совместное с АСИ исследование защищенности МСП от киберугроз. Это будет первое подобное исследование в России, так что должно получиться любопытно. Панель называется "Кибербезопасность малого и среднего бизнеса: Глобальные и национальные риски. Практические решения", будет проходить 10 ноября с 12 до 14 часов. Так что если кому-то интересного, можете увидеть нас там)

Скоро год — полет нормальный Нас тут спрашивают, как вообще идут дела у 3side. Отвечаем — все в порядке. Для стартапа в супер-консервативной индустрии, все очень неплохо. Заказчики есть — и это самое главное. Причем очень разные, из разных индустрий, с очень разными задачами, часто нестандартными. И далеко не только пентесты, что особенно радует. Из любопытного — мы недавно выяснили, что далеко не все наши подписчики понимают нашу схему работы и то, что мы можем, но скоро мы это исправим. Построение продаж пока в процессе, но для нас это очень долгий процесс. Как только решим проблему устойчивой лидогенерации, то можно будет сказать, что первый этап успешно завершен. Но мы над этим очень активно работаем, и некоторые договоренности уже на достаточно поздней стадии. Опять же мы рады, что есть люди, которые очень хорошо поняли, что мы можем им дать. Инвестора пока нет, но возможно это и к лучшему. Тем более, что проблему с инвестициями мы смогли решить достаточно нестандартным, но чуть более чем устраивающим нас способом. Значит, дальше будет еще больше возможностей. Главным открытием для нас стала роль социальных связей, причем как в ИБ-сообществе, так и за его пределами. Нет, мы четко понимали их важность, но даже близко не могли представить, какие из них и как выстрелят. Далеко не все мы еще использовали, но тут все впереди. И мы рады, что они хороши и полезны для обеих сторон. В общем, такие дела. Все неплохо — а будет еще лучше!

Жареный петух клюнул! Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС. https://plusworld.ru/articles/57398/

Иллюзия нашей неуязвимости Кто предупрежден, тот защищен - не про социальную инженерию. Любой из нас, включая меня - автора этих строк может повестись на схему мошенников. МОжно даже повестись на скрип, который ты знаешь и сам разбирал, вопрос в том, что для этого нужно? Нужно подходящее состояние жертвы, мы уже много раз про это писали, особенно в старой статье про правило 7%. Состояние грусти/эйфории, стресса, снижают критическое мышление. И специалисты Центробанка, переводят мошенникам, назвавшимися их коллегами, деньги! И специалисты по кибербезу переводят, вот свежий пример. 51-летний преподаватель по кибербезопасности из одного из технических университетов Кемерова попался на удочку мошеннического колл-центра. Его заставили перевести все деньги, которые у него были. А дальше, чтобы "снизить кредитный потенциал, для защиты от того, что мошенники от вашего лица наберут кредиты", заставили продать машину и самому взять несколько займов в различных банках! Полная сумма ущерба около 4 миллионов рублей. Поэтому, коллеги, помните, что даже мы уязвимы, все мы люди. Any system is vulnerable.

Jabber.ru (xmpp.ru) скомпрометирован без взлома серверов. Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии. Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети. Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена. А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно. Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!

"Окажите содействие товарищу майору!" Новый скрипт от мошеннических колл-центров набирает обороты. Теперь уже звонят по компаниям/госструктурам/организациям, но не сразу. Сначала на телефон сотрудника в одном из мессенджеров приходит сообщение от контакта с фотографией его руководителя и с ФИО его руководителя. Конечно же, диалог будет пустой, ведь это не настоящий аккаунт, а ново созданный фейк. Фото взято из открытых источников, ФИО тоже, а рассылка идет по всем сотрудникам. Зачастую даже не разбираются чем именно сотрудник занимается, писали и тем, кто работает в отделе кибербеза. В диалоге "руководитель" краток и пишет, что дело крайне срочное, под угрозой вся компания и сейчас с сотрудником свяжется представитель ФСБ/МВД/СК и товарищу майору Петрову/Иванову/Кузнецову обязательно нужно оказать всяческое содействие! Не успеет жертва прочитать сообщение, как "майор" уже звонит, и продолжает запугивать, не давая времени на то, чтобы проверить диалог и обдумать, а что вообще происходит? Обычно "майор" пугает уголовной ответственностью для сотрудников компании, говорит о каких-то переводах денег на Украину через фирму и прочий страшный бред. Ну, а дальше классический финансовый сценарий, нужно "защитить" деньги отправив их на специальный (мошеннический) счет, снизить кредитный потенциал набрав еще и кредитов, и прочее, прочее, прочее. Попытки таких атак уже были во множестве госструктур и крупных компаний, например, буквально вчера об этом рассказал директор по безопасности Redmond Иван Бируля, на нашем общем эфире, посвященном социальной инженерии. Их атаковали, но неудачно. Также редакция канала слышала и об атаках на государственные структуры. Наше дело предупредить, в целом схема та же, но чуть больше первоначальной разведки, и чуть иное начало. Главное - в любой непонятной ситуации все также Бросайте трубку!

Не надо изобретать способы взлома — про СМИ и фишинг Тут одно крупное СМИ написало пост про взломы тг-каналов. К сожалению, специалисты в ИБ несколько удивлены формулировками в нем, а реальная ситуация там иная. Произошедшее скорее всего стало результатом…

Не надо изобретать способы взлома — про СМИ и фишинг Тут одно крупное СМИ написало пост про взломы тг-каналов. К сожалению, специалисты в ИБ несколько удивлены формулировками в нем, а реальная ситуация там иная. Произошедшее скорее всего стало результатом классической проблемы — фишинга. Пишут, что "схема взлома несложная", но в действительности ее никто в мире до сих пор не смог реализовать. Для этого нужна 0day уязвимость в телеграмме или современных браузерах, стоимостью ну так около 1 миллиона долларов. И атаковать с ее помощью локальные ТГ-каналы просто нерационально. А что же было на самом деле? В даты взлома одному из администраторов новостного канала дружественного редакции 3side пришла классическая фишинговая ссылка под предлогом закупки рекламы. Ссылка выглядела следующим образом "https://tgstat[.]name/channel/XXX" c подставленным именем канала. Сайт по ссылке мимикрировал под известный агрегатор статистики и провоцировала жертву "залогиниться через Телеграм", после чего и доступ к каналу появлялся у злоумышленников. Администратор на фишинг не купился, а отправил ссылку нам на изучение. Все просто, банальный фишинг, а не выдуманная 1-click уяeзвимость. Скорее всего, подобную схему, только под иным предлогом и с другой маскировкой использовали и в массовом взломе. Ничего нового. Мы еще раз призываем всех журналистов, делающих хорошую и серьезную работу (а мы знаем, что нас читают в совершенно разных СМИ), в подобных ситуациях обращаться к индустрии. Дело касается не только ИБ, а практически любой области. Мы прекрасно понимаем, что нельзя быть специалистом во всем — но только коммуникации с профессионалами в любой сфере помогут сделать действительно качественный и интересный материал. А заодно и количество подобных инцидентов помогут сократить. UPD. Коллеги уточняют, что возможно использовался и второй вектор с вредоносным самораспаковывающимся архивом. Но и тут, архив нужно скачать и запустить распаковку, никакого 1-click по ссылке.